Cybersecurity-Experten haben eine kritische Sicherheitslücke in der Netzwerk-Monitoring-Software Progress WhatsUp Gold identifiziert. Die als CVE-2024-8785 klassifizierte Schwachstelle erhielt mit 9,8 von 10 Punkten die höchstmögliche Risikobewertung auf der CVSS-Skala. Besonders besorgniserregend ist, dass Angreifer ohne vorherige Authentifizierung beliebigen Code auf verwundbaren Systemen ausführen können.
Technische Analyse der Schwachstelle
Die Sicherheitslücke betrifft WhatsUp Gold Versionen von 2023.1.0 bis 24.0.1. Im Zentrum steht die Komponente NmAPI.exe, die Netzwerkmanagement-Funktionen bereitstellt. Der Hauptangriffspunkt liegt in der mangelhaften Validierung von Eingabedaten, wodurch Angreifer durch speziell präparierte Anfragen Windows-Registrierungsschlüssel manipulieren können.
Angriffsszenario und Auswirkungen
Der Exploit nutzt die UpdateFailoverRegistryValues-Funktion über netTcpBinding auf Port 9643. Angreifer können dadurch Registrierungseinträge unter HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\ modifizieren oder erstellen. Dies ermöglicht es ihnen, Konfigurationsdateien auf bösartige Server umzuleiten. Bei einem Neustart lädt der Ipswitch Service Control Manager die manipulierte Konfiguration, was zur Ausführung von Schadcode führt.
Häufung von Sicherheitsvorfällen
WhatsUp Gold wurde bereits mehrfach im Jahr 2024 zum Ziel von Cyberangriffen. Dokumentierte Vorfälle umfassen die Ausnutzung der Schwachstellen CVE-2024-4885, CVE-2024-6670 und CVE-2024-6671, die Angreifern ermöglichten, sich Zugang zu Unternehmensnetzwerken zu verschaffen und Administratorrechte zu erlangen.
Schutzmaßnahmen und Handlungsempfehlungen
Progress Software hat am 24. September 2024 ein Sicherheitsupdate veröffentlicht, das CVE-2024-8785 und fünf weitere Schwachstellen behebt. Systemadministratoren wird dringend empfohlen, ihre WhatsUp Gold-Installation umgehend auf Version 24.0.1 zu aktualisieren. Angesichts der Kritikalität der Schwachstelle und der Verfügbarkeit eines öffentlichen Proof-of-Concept-Exploits könnten Verzögerungen bei der Implementierung der Sicherheitsupdates schwerwiegende Folgen für die IT-Sicherheit von Unternehmen haben.
